|
常時接続環境では外部からのアクセスログのチェックは必ずしなさい!とよく言われますが、多少でもセキュリティの意識があればチェックするようになるんじゃないですかね。ログチェックって結構楽しいもんですよ。私の場合、パケットフィルタリングの結果やらいろいろとログってるんですが、防火壁にひっかかったパケットなんて何ていうか魑魅魍魎といった風情です。これを見るのは日課というより既に「日々の楽しみ」(悪趣味)はじめは怒りが収まりませんでしたけど、あまりに多すぎて、いちいち気にするのがアホらしい。最近では念仏でも唱えてやろうか、という悟りの境地。
さて、ログは /val/log/messages をはじめいろいろと出ますが、不正アクセスっぽいものに対してはさらにいろいろと抽出・編集するスクリプトを書いて整理してます。主なものを挙げてみましょう。元となるものの多くは ipchains の -l オプションによるものですね。 ■ 全痕跡、日ログ ■ 許していないポートへのSYNパケット、および許しているポートへのSYNパケットのうち監視対象としているもの。 ■ 容疑者IP、日ログ ■ 全痕跡中で、許していないポートへのSYNパケットの発信元アドレスのリスト。重複するものは1つにまとめる。ダイナミックIPということも考えられるので、参考程度にする。 ■ 容疑者ドメイン、日ログ ■ 全痕跡中で、許していないポートへのSYNパケットの発信元アドレスのリストを元に、DNSで問い合わせた結果のリスト。 ◎ドメインが存在する あっさりとドメインが出てくる、というのは大胆不敵な場合(外国には多い)、乗っ取られたホストの場合などがあると思われる。また、ADSLの場合はNTTのサブドメインが出てきたりする。この場合ドメインは一時的なものなので、参考にならない。 CATV の場合 CATV 局のサブドメインとなるが、例えば JCOM の場合はユーザーに対しホスト名指定で、それに対してIPをDHCP割り当てするので、これで引いた結果で攻撃者を特定できる(後述)。 DNSで引けないものには2通りある。 ◎ドメインが存在しない 固定IPである可能性大、ドメイン登録していないのでしょう。これがいちばん厄介。 ◎サーバーエラー 故意に隠している可能性もあるので、この場合は対象IPが重要な痕跡となるので、存在しないよりまし? ■ 重要参考人リスト ■ 日を変えて同発信元IPで同様のアクセス(同ポートにアクセス、同時間帯にアクセス等)をかけてきた結果のリスト。複数日にわたるアクセスということで、これに残るIPは静的なものとほぼ特定できる。つまり攻撃者IPが特定できる。これをさらにアクセス制限に活用するのもアリですね。 ★トホホな痕跡 こんなログが残ってました(都合の悪い部分は隠してます)。 Jul 10 03:43:54 ***** kernel: Packet log: ***** DENY ***** PROTO=6 XXX.XXX.XXX.XXX:23\ XXX.XXX.XXX.XXX:23 ....... SYN (#9) ポート23番から23番、つまりtelnet でログインしようとしてます、なんと大胆な。いきなりですか! まあ、うちはダイナミックIPですから、このときのウチが持っていたIPの以前の持ち主の所では Come on, everybody! の状態だったのかもしれません。まあ、おそらく違うでしょう。なぜならばこのお方(容疑者)はあまりにもトホホだからです。本気の攻撃ではなく、単なる出来心でしょう。私も自ページで自IPを公開してるので、それにアクセスしてきたのかもしれません。そうなれば「お客様」ではないか!そうか!トホホとかいってごめん。でも、そうだとしてもこの方が他の管理者に報復攻撃されないためにも、いかにトホホかを書いておくのはよいことですね。 前述の「容疑者ドメイン、日ログ」によるとこのお方は cj-XXXXXXX.sagam1.kn.home.ne.jp ということでした。これで完全に身元がバレてます。home.ne.jpというドメインは JCOM のインターネットサービスのものです。 "cj-XXXXXXX" はユーザー(ここでいう容疑者)のホスト名(固定) "sagam1" はエリアです。相模だから相模原とかですね。ちなみに私が CATV 使ってたときは kkbunj1(国分寺)でした。 "kn" は「神奈川」でしょうね。 たとえダイナミックIPだとしても、JCOMの指定によりホスト名が固定ですから、ドメインで特定できます。思いっきり身元を明かしていることに気づいていないのでしょう(知っててやってるなら恐ろしいが....)。 まあ、私は報復攻撃してませんが、もう1回来たら警告はしようかと思います。そのときはうちのIPは以前と違うので、相手にとっては違う所にアクセスしてるつもりなんでしょうがね。とにかく、調子に乗ってはいけませんぜ。証拠があるということはJCOM経由で契約者を特定した上で法的手段にも訴えられますからね。 以上はごく簡単な方法です。稚拙な不正アクセスは身元がバレます。火遊びはやめといた方がよいですぜ。 あとクラッカーの皆様に一言、 ダイナミックIPにポートスキャンかましてどーすんだー!そんなもん調べとけタコ! |